freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

四川省2021年上半年 移动互联网应用安全报告
2021-10-12 16:34:42

2021年是移动互联网领域数据安全事件频发的一年,数据泄露、用户个人信息过度收集和滥用、数据跨境传输不当、APP权限索取不当等问题不断发生,对国家安全、社会利益和公众权益造成了重要威胁,严重制约移动互联网应用行业健康有序发展。

为加快提升移动互联网行业保障数据安全和个人信息安全能力,维护公民合法权益,营造良好的数字经济营商环境,促进移动互联网应用和经济发展深入融合。在中共四川省委网络安全和信息化委员会办公室、国家计算机网络应急技术处理协调中心指导下,国家计算机网络应急技术处理协调中心四川分中心(简称“国家互联网应急中心四川分中心”)牵头编写了《四川省移动互联网应用安全报告(2021年上半年)》,北京智游网安科技有限公司(爱加密)等技术支撑单位提供了支持。

第一章

四川省移动互联网应用概况

2021年上半年,四川省移动互联网应用与各行各业需求融合,线上线下协同发展、相互促进,展现出了新的发展活力。新冠疫情加速远程办公、移动互联网应用的普及。与此同时,个人信息收集、使用或保存不当以及APP权限索取多样化等带来的隐私合规、安全风险、仿冒问题也更为突出,强行读取、删除或修改传感器数据、基站数据、GPRS记录、MAC地址、通话记录等行为,加剧了信息安全、数据安全风险。本章主要介绍四川省移动互联网应用的总量、地域分布、功能分类分布、分发渠道和下载量等情况。1.1移动应用总量的综合统计

四川省Android应用共计41085款,约占全国总量1.22%,其中包括运营者/开发者归属地明确为四川省的应用有29736款,占72.38%;运营者/开发者归属地不明确,其名称或描述等内容包含了区域关键词或其分发渠道位于四川省的应用11349款,占27.62%;iOS应用共计14516款,约占全国总量0.64%;微信公众号56544个,约占全国总量1.06%;微信小程序35390个,约占全国总量4.68%;应用安装包(APK)202295个,约占全国总量1.81%。

如图1-1所示,全国Android应用累计新增58491款,增幅为1.77%。四川省Android应用累计新增2105款,增幅为5.40%,远高于全国,移动互联网应用市场发展快速。

图1- 1四川省及全国移动应用增幅对比

1.2移动应用的地域分布

如图1-2所示,仅根据运营者/开发者明确为四川省的应用进行分析,成都市移动应用数量位居本省第一,占总量的88.69%;其次是绵阳市,占总量的2.10%;德阳市位列第三,占总量的1.21%。此外,南充市和泸州市移动应用数量在本省总量的分别为0.77%和0.72%,位列第四和第五。这显示出四川省移动应用普及度较高,呈现以成都市为中心的发展趋势。需要注意的是,难以落实运营者/开发者的移动应用往往容易成为安全管理的难点。

图1-2移动应用区域分布TOP10

1.3移动应用的功能分类分布

如图1-3所示,根据移动应用所属功能来看,四川省移动应用可细分为游戏应用、生活实用、办公学习、系统工具、网上购物等主要类型。其中,游戏类应用数量占四川省总量的30.57%,位居第一,远高于其他类型;生活实用类应用数量占四川省总量的16.68%,位居第二;办公学习类应用数量占四川省总量的8.26%,位居第三。这显示出四川省移动应用主要集中在日常生活的娱乐、生活和学习方面,此类移动应用获取个人信息较多,安全风险较大。

图1- 3移动应用功能分类分布TOP10

1.4移动应用的分发渠道分布

移动应用分发渠道主要包括应用商店、贴吧和论坛等。全国移动应用分发渠道总计约900个,其中四川省移动应用分发渠道19个。

如图1-4所示,四川省移动应用发布渠道主要有应用宝、豌豆荚和百度手机助手等,其中,应用宝共计发布应用13238款,占比32.22%;豌豆荚共计发布应用8541款,占比20.79%;百度手机助手,共计发布应用8530款,占比20.76%。

图1- 4移动应用分发渠道排行TOP10

1.5移动应用的下载量统计

如图1-5所示,综合全国移动应用分发渠道的下载量统计,四川省累计下载量排名第一的是“咪咕音乐”,下载116782万次,属于“影音播放类”应用;其次是“百词斩”,下载73289万次,属于“办公学习类”应用;排名第三的是“Camera360”,下载50711万次,属于“拍摄美化”应用。可以看出,下载量较高的主要是影音播放、生活实用类应用。

图1- 5移动应用下载量排行TOP10

1.6活跃移动应用的功能分类分布

如图1-6所示,四川省活跃移动应用(即三个月内有更新的应用)总计1846款。从功能分类来看,游戏类应用活跃度最高,占总量的36.89%;办公学习类应用排名第二,占比15.66%;生活实用类应用排名第三,占比14.84%。游戏类应用总量排名第一且更新频率较高,需要着重关注其风险。

图1- 6活跃移动应用功能分类分布TOP10

第二章

四川省移动互联网应用漏洞概况

2021年以来,国内外接连曝光多个移动应用漏洞事件。8月,据Altas VPN发布的公告显示,60%以上的安卓应用程序存在漏洞,平均每个安卓应用存在39个危险漏洞。9月,以色列网络监控公司NSOGroup安全人员发现苹果iPhone存在漏洞,导致黑客可利用技术入侵苹果设备。检测结果显示,四川省移动互联网应用漏洞形势也不容乐观。本章主要介绍四川省移动应用存在的漏洞风险等级、漏洞类型、漏洞应用功能分类、漏洞区域分布等情况。

2.1移动应用漏洞等级概况

漏洞风险分为“高危”“中危”“低危”三个等级。同一款移动应用可能存在多个等级漏洞。通过对四川省共计41085款移动应用进行漏洞扫描,发现存在漏洞风险的移动应用32807款,占比79.85%。

如图2-1所示,四川省移动应用的“中危”漏洞最多,存在中危漏洞的应用总计25045款,占存在漏洞应用总量的76.34%;其次为“低危”漏洞,总计24838款,占总量的75.71%;“高危”漏洞紧随其后,总计24186款,占总量的73.72%。由此可见,四川省三个等级的漏洞占比均在70%以上,漏洞风险形势严峻。

图2- 1移动应用不同风险等级漏洞占比

2.2移动应用漏洞类型情况

如图2-2所示,四川省移动应用漏洞类型主要有SO文件破解风险、日志数据泄露风险和Janus漏洞等,占比分别为56.13%、52.46%和52.07%。此外,URL硬编码风险和截屏攻击风险也值得关注,占比约为50%。

图2- 2移动应用漏洞类型TOP10

2.3存在漏洞风险移动应用的功能分类分布

如图2-3所示,从存在漏洞风险应用的功能类型来看,排名第一的是游戏类,存在漏洞风险的应用数量占四川省应用总量的27.32%;其次是生活实用类,占比14.52%;排名第三的是办公学习类,占比7.05%。游戏类应用不仅本身数量较大,也是存在漏洞最多的应用类型,一旦受到攻击极易导致用户隐私泄露或直接财产损失,需进一步关注其安全加固和数据保护状况,避免因不当收集和使用数据或遭受网络攻击对社会公众及企业自身带来影响。

图2- 3存在漏洞风险应用的功能分类排行TOP10

2.4存在漏洞风险移动应用的地域分布

如图2-4所示,从存在漏洞风险应用的区域分布来看,仅分析四川省有运营者/开发者的应用,各市(州)的漏洞风险移动应用分布情况与应用总量区域分布基本一致,移动应用数量越多的区域,存在漏洞的应用数量越多。

图2- 4存在漏洞风险移动应用在各市(州)的占比TOP10

第三章

四川省移动互联网恶意应用概况

移动互联网恶意程序往往在用户不知情或未授权的情况下,在移动终端系统中安装、运行以达到不正当目的可执行文件、程序模块或程序片段,一般存在一种或多种恶意行为,包括恶意扣费、信息窃取、远程控制、恶意传播、诱骗欺诈、流氓行为等。本章主要介绍四川省的主要恶意应用类型、传播渠道、分类分布等情况。

3.1主要恶意程序类型分布

如图3-1所示,累计检测到四川省含有恶意程序的应用1874款,从类型分布来看,恶意程序类型以“隐私窃取”为主。具体来看,排名前三的恶意程序行为包括:

图3- 1主要恶意程序类型排名

(1)隐私窃取:在用户不知情或未授权的情况下,通过隐蔽执行的手段,窃取用户设备信息,直接导致用户个人隐私信息泄露。

(2)流氓行为:通常会绑定广告插件,在用户未授权的情况下,弹出广告窗口等。

(3)恶意扣费:在后台执行恶意行为,消耗用户资费,或在用户不知情的情况下私自下载付费应用并完成支付,造成用户资费损失。

3.2恶意应用的分发渠道分布

图3- 2恶意应用分发渠道TOP10

如图3-2所示,四川省的恶意程序分发渠道排名第一的是“应用宝”,占四川省恶意程序总量的23.05%;排名第二是“豌豆荚”,占比22.52%;排名第三的是“搜狗应用”,占比19.32%。由此可见,越是用户用量较多的分发渠道,恶意程序量也更多。

3.3恶意应用的功能分类分布

如图3-3所示,从恶意应用在各功能分类中的分布情况来看,游戏类存在恶意应用的数量占四川省恶意应用总量的26.20%,位居第一;生活实用类占比13.87%,位居第二;系统工具类占比6.40%,位居第三。可以看出,总量越大的移动应用类型潜在恶意应用风险越大。

图3- 3恶意应用的功能分类TOP10

第四章

四川省移动互联网应用个人信息采集概况

随着收集途径的多样化,移动互联网应用未经用户同意收集使用个人信息的乱象层出不穷。例如:有些APP在收集信息之前未予明示或通过文字游戏诱导用户同意,收集与其提供的服务无关的个人信息,对用户隐私和利益带来潜在风险和危害。本章主要介绍四川省移动应用个人信息采集合规性抽样检测和合规性问题应用的功能类型分布等情况。

4.1个人隐私权限采集情况

如图4-1所示,分析四川省移动应用的个人隐私权限采集情况,较为靠前的分别为:网络权限、存储、WIFI、电话、系统、应用列表、位置、相机、自定义权限等。其中,网络权限、WiFi权限等个人信息收集类型的占比情况体现了移动应用需要网络工作环境的特点,但电话权限、应用列表权限以及位置权限等个人信息的采集,需要根据GB/T 35273-2020《信息安全技术 个人信息安全规范》,结合应用本身的合法业务需求,通过技术检测手段等进一步分析其合规性。总体来看,移动应用采集个人隐私权限的行为较为普遍。

图4- 1个人隐私权限采集排行

4.2通报下架应用的有效下载渠道分析

如图4-2所示,跟踪监管部门通报下架的104款四川省移动应用相关版本的有效下载渠道,发现截至到8月底仍有16款应用在部分渠道可以有效下载。具体来看,“百词斩爱阅读”2.1.8版本仍有13个有效渠道可下载;“团购砍价”1.1.1版本仍有7个有效渠道可下载;“Uik”1.1.0版本仍有6个有效渠道可下载。

图4- 2四川省2021年通报下架应用的有效下载渠道分布

4.3个人信息采集合规性抽样检测情况

如图4-3所示,抽样检测2021年1至8月四川省有更新或新上架的移动应用共计4455款,存在“违规收集个人信息”的占比76.14%;存在“超范围收集个人信息”的占比75.08%;存在“APP强制、频繁、过度索取权限”的占比为41.98%。开发企业、运营企业作为责任主体应提高认识,严格自律,而广大用户则需要提高隐私保护意识,不轻易安装来源不明的移动应用。

图4- 3个人信息采集合规性抽样检测情况

4.4个人信息合规性问题应用的功能类型分布

如图4-4所示,从存在个人信息合规性问题移动应用的功能类型来看,游戏类占比21.40%,排名第一;生活实用类占比11.02%,排名第二;办公学习类占9.61%,排名第三。游戏类移动应用数量较多、受众面广,超八成以上的游戏类应用存在“违规收集个人信息”“超范围收集个人信息”等合规性问题,一旦出现安全漏洞,容易造成大量用户的个人信息泄露。

图4- 4个人信息合规性问题应用的功能类型分布TOP10

第五章

四川省移动互联网应用数据跨境传输概况

在经济全球化和大数据发展背景下,数据开放和共享,尤其是跨境传输已成为数字经济发展的重要战略资源。当前,国际上尚无数据跨境传输的法律监管统一标准,一些国家甚至用“长臂管辖”维护本国利益,制造多起数据跨境传输的国际冲突。本章主要介绍四川省移动应用跨境数据传输情况、传输目的地分布和应用功能分类等情况。

5.1数据跨境传输的移动应用概况

如图5-1所示,检测四川省2021年有更新或新上架的4455款移动应用的数据传输行为,发现存在“将数据传输至境外服务器”的移动应用占比17.69%。这显示四川省移动应用涉及数据跨境传输较多,相关风险值得警惕。

图5- 1数据跨境传输的移动应用占比情况

5.2数据跨境传输目的地分布

如图5-2所示,检测到四川省移动应用关联境外IP或者域名共计788款,数据流向多个国家和地区。具体来看,排名第一的目的地是美国,占比76.78%;排名第二的是中国香港,占比17.39%;排名第三的是新加坡,占比11.55%。值得注意的是,移动应用还存在将程序代码等数据直接外发或通过第三方SDK向境外传输数据的行为。

图5- 2数据跨境传输目的地TOP10

5.3数据跨境传输移动应用的功能分类分布

如图5-3所示,结合相关移动应用的功能分类来看,涉及数据跨境传输的移动应用中,游戏类应用占总量的44.54%,排名第一;生活实用类,占比6.47%,排名第二;办公学习类占比4.06%,排名第三。游戏类应用数量较多,且多数游戏需要实名制,绑定用户的shenfenzheng等敏感信息,一旦境外服务器受到攻击,极易造成用户敏感信息泄露。

图5- 3数据跨境传输移动应用的功能分类TOP10

第六章

四川省移动互联网应用嵌入SDK概况

SDK广泛应用于移动应用设计开发阶段。为提高开发效率、降低成本,移动应用开发商往往将某项功能交给第三方来开发,第三方将服务封装为工具包(即SDK)供开发者使用。SDK本身可能存在安全漏洞、隐瞒收集个人信息等安全风险。本章主要介绍四川省移动互联网应用嵌入SDK的情况。

6.1移动应用集成SDK的平均数量

如图6-1所示,四川省移动互联网应用平均集成7.11个SDK,社交通讯类、旅游出行类、资讯阅读类平均集成SDK数量名列前三,分别为11.11个、8.47个和8.35个。第三方的SDK开发侧重于功能性的完善,在安全性方面的投入较少,可能存在一些安全问题,需要对平均嵌入SDK较多的各应用功能类型引起重视。

图6- 1各应用功能类型平均集成SDK数量TOP10

6.2移动应用嵌入SDK的类型分布

如图6-2所示,从移动应用嵌入第三方SDK类型来看,最常见、使用最多的SDK类型包括工具类、支付类、推送类、广告类和统计类。其中,嵌入了工具类SDK的APP数量最多,占比28.74%;其次是推送类SDK,占比为10.99%;排名第三的是框架类SDK,占比为9.04%。工具类SDK作为使用最广泛的SDK类型,APP开发者在使用该类型SDK实现功能的同时也要注意嵌入SDK后带来的安全风险。

图6- 2 SDK类型分布情况

6.3嵌入SDK的移动应用功能分类分布

如图6-3所示,从嵌入第三方SDK的移动应用功能分类分布来看,排列第一的是游戏类,占比26.13%;其次是生活实用类,占比17.51%;排列第三的是办公学习类,占比9.09%。由此可见,游戏类应用平均集成SDK个数高于四川省总应用平均集成SDK个数,也是嵌入第三方SDK最多的应用类型。公众在使用此类型应用时应仔细阅读应用的隐私政策,注意保护自身的个人信息安全。

图6- 3嵌入SDK的移动应用功能分类TOP10

第七章

四川省移动互联网应用加固概况

为防止被破解、二次打包、恶意篡改等安全风险,移动应用需要通过安全加固维护应用安全。本章主要介绍四川省移动应用加固情况。

7.1移动应用的加固情况

如图7-1所示,截止到2021年8月,四川省移动互联网应用已加固应用共计6703款,占四川省应用总量的16.31%;未加固应用共计34382款,占比83.69%。这显示四川省移动应用加固工作仍有待加强。

图7- 1移动应用加固情况

7.2未加固移动应用的功能分类分布

如图7-2所示,分析四川省未加固应用的功能分类分布情况,未加固量排名前三的分别是,游戏类应用占比30.32%、生活实用类占比12.82%、办公学习类占比5.64%。未加固量越高的移动应用类型,存在漏洞风险、恶意程序的可能性也越大。

图7- 2未加固移动应用的功能分类分布TOP10

第八章

移动互联网应用安全监管概况

移动互联网应用漏洞风险、恶意程序应用、个人隐私采集不合规、嵌入SDK的内生风险、未加固风险等多重安全问题,严重制约了产业健康有序发展,甚至威胁国家安全。面对这些挑战,既需要行业加强自律,在技术研发设计过程中注重网络安全,同时更需要行业监管部门从法律法规、打击治理、宣传教育等多领域开展工作,共同助力移动互联网应用安全生态的构建和发展。本章主要介绍移动互联网应用的行业监管态势和行业标准化规范化情况。

8.1行业监管态势

2021年5月,CNCERT发布的《2020年我国互联网网络安全态势综述》指出,APP违法违规收集个人信息治理取得积极成效,但个人信息非法售卖情况仍较为严重,联网数据库和微信小程序数据泄露风险突出,APP发现未脱敏展示公民个人信息事件107起、联网信息系统数据库存在安全漏洞、遭受入侵控制以及个人信息遭受盗取和非法售卖等重要数据安全事件3000余起,涉及电子商务、互联网企业、医疗卫生、校外培训等众多行业机构。为保障国家安全、社会利益和公众权益,维护市场利益相关者的权益,推动行业良性发展,我国从法律法规、行政法规、部门规章、规范性文件、技术标准等多个角度加强了监管和指导。

一是法律法规加速落地,覆盖数据安全、个人信息保护等多领域。2021年,我国相继出台了《数据安全法》《个人信息保护法》等,确立了数据分类分级管理、数据安全审查、数据安全风险评估、个人信息监管与保护等基本制度,强化了法律监管。各地积极探索具有地方特色的地方治理举措。例如,广东省5月率先试点政府首席数据官制度;深圳市6月通过了《深圳经济特区数据条例》;天津市7月组织开展网络数据安全行政执法证件申领工作。移动互联网应用安全法律监管呈现出中央到地方垂直覆盖的形态

二是监管治理更加注重主动预防、联动协同,迈向常态化、精细化。在新的历史条件下,与时俱进,充分尊重新技术革命带来的差异与变化,监管治理从事件发生后的被动型执法向主动预防型执法转变,从“九龙治水”向跨行业跨区域联合执法、联合监管转变,同时积极优化新技术企业与政府间的合作协同。当前移动互联网应用监管工作已成为网信办、工信部、公安部等多个部门的常规性工作,形成了多部门齐抓共管的工作格局,监管范围从原生APP和SDK,扩展到了小程序、轻应用等新型移动互联网应用形态。2021年3月,中央网信办发布《常见类型移动互联网应用程序必要个人信息范围规定》,5月通报搜狗输入法等33款APP违法违规收集使用个人信息,7月则联合七部门入驻“滴滴”启动网络安全审查,随即停止滴滴新用户注册,下架“滴滴出行”APP;9月,工信部关于侵害用户权益行为的APP通报(2021年第10批,总第19批)指出,截至目前,有334款侵害用户权益的假日出行、民生服务类APP。四川省主动出击,省委网信办开展具有舆论属性或社会动员能力互联网信息服务安全评估“月通报月检查”相关工作,截至8月已督导20余家企业报备其提供的APP或网站应用;省通信管理局截至8月已累计检测1490款APP,下发整改通知书1052份,督促完成782款问题APP的整改,对75款未按期整改APP予以公开通报,对36款公开后仍未整改APP全网统一下架。移动互联网应用安全管理进入强监管阶段。

三是加强科普宣传,强化治理效应。2021年,相关部门持续依托网络安全宣传周、互联网安全大会等活动,以专题发布典型问题APP评估结果、315晚会等关键时间节点曝光问题严重的APP等形式,宣传普及移动互联网安全知识,引导公众积极参与,切实提高防范意识。四川省委网信办发布“四川网信人才发展公众号”,开通“四川网信云课堂”网络教育培训平台、“违法和不良信息举报平台”,举办“四川省网信系统网络安全知识技能大赛”,面向公众开放帮助公众便捷获取有关法律法规和网络安全知识与技能,提升公民依法上网、文明上网、安全上网和个人信息安全保护意识,学会识别和抵御非法移动应用,并主动举报相关违法违规行为,强化治理效应,全社会关注信息安全、数据安全的氛围基本形成。

8.2行业标准化规范化情况

一是国标加速更新和落地,提出新要求。近年来,关于信息安全的国家标准不断完善,随着《信息安全技术个人信息安全规范》的更新、国标《信息安全技术个人信息安全影响评估指南》的落地,对移动互联网应用的个人信息保护工作精细度提出新的要求。

二是行标持续跟进,保持同步发展。金融行业发布《个人金融信息保护技术规范》《商业银行应用程序接口安全管理规范》《移动金融客户端应用软件安全检测规范》《商业银行应用程序接口安全管理检测规范》等技术规范、检测规范。电信终端产业发布《APP收集使用个人信息最小必要评估规范》《APP用户权益保护测评规范》等。针对前期央视“3.15”晚会曝光SDK违法违规收集用户个人信息问题,信安标委发布《网络安全标准实践指南—移动互联网应用程序(APP)使用软件开发工具包(SDK)安全指引》,指导SDK安全工作。

三是行业自律积极配合,产生协同效应。国家计算机网络应急技术处理协调中心(CNCERT)牵头协调国家计算机网络应急处理体系的104家应急支撑单位加强网络安全信息共享和技术合作,维护公共互联网网络安全。CNCER持续发布《我国互联网网络安全态势综述》和《中国互联网网络安全报告》,对我国互联网网络安全状况进行总体判断和趋势分析,为主管部门和企事业单位安全工作提供重要咨询和决策参考。

第九章

四川省移动互联网应用安全发展趋势和公众Tips

当前,“自由职业”“远程办公”等新兴职业的蓬勃发展,推动了移动互联网应用的普及。毋庸置疑,随着新兴技术的不断发展和演变,未来移动互联网应用的采用率将越来越高,移动互联网应用将迎来更多的机遇,新兴技术的融合发展将带来新的风险和挑战,数据安全和个人信息保护的重要性将更加凸显,SDK的广泛应用将供应链安全风险摆到台面上。本章展望了移动互联网应用未来的安全发展趋势,并向公众提出了几点注意事项。

9.1移动应用安全发展趋势

一是数据安全和个人信息保护重要性更为凸显。目前我国已出台《数据安全法》和《个人信息保护法》,监管部门加大对违规或超范围采集和使用个人信息、泄露或售卖用户数据等侵害用户隐私权益违法违规行为的打击力度。此外,“特斯拉刹车失灵”“工信部通报违规APP名单”等多个事件无一例外都在给当前个人隐私安全、个人信息保护、数据安全、数据跨境流动等多领域敲响警钟。随着移动互联网应用安全监管进入精细化的新阶段,数据安全和个人信息保护将成为重要关注点。

二是新兴技术的融合将带来新的风险和挑战。人工智能、物联网、5G等新技术与移动互联网应用融合,加速行业蓬勃发展,但也对监管形成新的挑战,对使用带来新的风险。例如,一些移动互联网应用利用人工智能推荐算法有效地解决了信息过载问题,以更精准的信息推荐提升和改善用户体验,但也可能加速相关平台上的有害信息传播扩散;一些平台和个人利用新型加密技术发布有害信息、利用更加隐秘的手段传输涉及用户个人信息、国家安全、社会安全的重要数据,从而逃避监管;一些移动互联网应用在过度收集个人信息时使用加密数据包,对测试环境进行智能识别以规避检测工具发现其异常传输行为。

三是产业链更加复杂多样,供应链安全风险不容忽视。SDK作为数字化经济转型过程中使用最为广泛的软件供应链形式,在数字化经济转型的对外服务中发挥着重要作用,呈现迅猛发展态势。通过使用开源代码,可大幅度提高软件研发效率、缩短上市时间、降低开发成本,但开源软件中存在的大量缺陷,甚至安全漏洞也一并进入了软件部署包,为软件带来巨大的安全风险。此前有媒体报道的新浪微博因用户查询接口被恶意调用导致APP数据泄露问题,受到工信部问询约谈。同时,随着SDK不透明化、专业化趋势不断增加,移动应用软件供应链所引发的应用安全问题随之快速增长,未来供应链面临的安全风险不容小觑。

9.2公众Tips

保护个人信息安全从来都不是一件简单的事情,涉及国家、行业、社会和个体,甚至国际等多个层面。当前,我国已从中央到地方相继出台各类法律法规、部门规章和文件指南等规范性文件,从法律角度提供国家级别的保护力量。在政府的指导下,行业组织及企业积极行动,规范经营行为,保护个人信息。作为个人,广大公众也应进一步加强网络安全知识学习,提升个人信息安全保护意识和技能,积极参与到维护个人信息的行动中。这里我们重点提示:

(1)高度警惕APP弹窗链接风险

APP“弹窗”问题近年来备受关注,特别是有些广告弹窗严重困扰用户。有些弹窗通过设置不明显的关闭按钮让用户难以关闭,有些弹窗存在用瞒天过海的把戏诱导用户点击及下载安装,这类软件安装后会自动运行,甚至在开机后自启,隐瞒用户发送短信、消耗手机资费等。面对各类“弹窗”陷阱,公众应提高警惕,保护好个人信息,避免在陌生链接下输入个人敏感信息。

(2)高度警惕APP“人脸识别”等生物识别技术的风险

网络技术的迭代发展使得APP功能日益强大,越来越多的生物识别技术被用来实现快速的APP身份认证和应用开启,从输入密码解锁到指纹解锁,再到现在的人脸识别解锁。“人脸识别”“指纹识别”等技术涉及到采集、存储和处理用户生物识别数据,一旦处理不当,极易带来严重的风险隐患。例如,通过人脸在线刷脸,一些不法分子骗过部分手机APP的活体认证环节,实名认证后窃取用户的个人信息并进行贩卖、网贷等灰色、黑色产业交易。服务功能日趋强大的同时伴随的安全风险加大,公众应提高生物识别技术风险意识,始终保持谨慎,不轻易提供个人生物识别信息。

(3)注重提高APP安全使用技能

一是下载应用时,要选择安全可靠的应用下载渠道,不安装不明来路的APP,不轻易接收安装来自微信、QQ等社交媒体的APP,不轻易点击短信中的链接,尽量使用常用的知名的APP。二是首次使用APP时,要注意观察APP是否有用户协议及隐私政策,认真阅读相关内容,了解该应用是否有违规收集用户信息或超范围收集用户信息等情况。三是安装过程中,不轻易授权APP读取自己的敏感信息,如相册、摄像头、录音、短信、电话、地理位置等。四是使用过程中,不轻易填写自己的个人敏感信息。五是在卸载APP时,要注意注销自己的用户信息,清理相关个人信息数据。六是按照国务院打击治理电信网络新型违法犯罪部级联席会议办公室总体部署,为全力维护人民群众切身利益,推荐公众安装、使用“国家反诈中心APP” 和全国反诈电话“96110”。“国家反诈中心APP”具备“诈骗预警、我要举报、身份验真、报案助手”等功能,并可帮助查看各地公安机关破获的诈骗案件信息,学习相关防诈骗知识。公众一旦发现有违法违规行为APP,及时举报和报警。

本文作者:, 转载请注明来自FreeBuf.COM

# 网络安全技术 # app安全 # 移动安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑